Az ExploreZip új változata pusztít a vállalati hálózatokon

Szalkai Ákos, 1999. december 2. 23:04
A vírus több Fortune 500 céget és számos kisebb vállalatot is megfertőzött az Egyesült Államokban, de már Európában, Amerikában és Ázsiában is találkoztak fertőzött gépekkel. A Data Fellows által ismertetett vírus levélláncként terjed, és romboló részt is tartalmaz.
A féreg W32/ExploreZip.worm.pak néven ismert. A Data Fellows víruskutatói szerint az eredeti vírust fele méretűre tömörítették. Ez a legtöbb, nem rendszeresen frissített víruskereső számára felismerhetetlenné tette. A féreg e-mail mellékletként érkezik. Megnyitásakor aktivizálódik, és ettől kezdve automatikusan válaszokat küld a beérkező üzenetekre, azt a látszatot keltve, mintha a felhasználó személyesen válaszolt volna. Ezenkívül, amint egy gép megfertőződik, további Windows-munkaállomásokat keres a helyi hálózaton. Amennyiben megosztott könyvtárakat talál egy gépen, megpróbálja azt a hálózaton keresztül megfertőzni.

Ha például John Doe egy levelet küldött Jane Smithnek, a levél tárgya pedig "Please check these numbers" volt, akkor Jane fertőzött gépe automatikusan válaszol Johnnak, a levél címe pedig "RE: Please check these numbers" lesz. Az automatikus válaszlevél tartalma a következő:

From: John Doe

To: Jane Smith

Subject: RE: Please check these numbers

Hi Jane

I have received your email and I shall send you a reply ASAP.

Till then take a look at the attached zipped docs.

Sincerely, John.

Attachment: zipped_files.exe

(Magyarul:

Feladó: John Doe

Címzett: Jane Smith

Tárgy: Vá: Kérlek nézd át ezeket az adatokat

Szia Jane

Megkaptam a leveledet, és amint lehetséges, válaszolni fogok.

Addig is kérlek, hogy vess egy pillantást a mellékelt zippelt dokumentumokra.

Üdvözöl, John.

Melléklet: zipped_files.exe)

A melléklet WinZip archívumnak tűnik, de amikor a felhasználó duplán rákattint, hogy megpróbálja kitömöríteni, hibaüzenetet kap a WinZip programtól, amely sérült állományra panaszkodik. A levélláncként történő terjedésen túl a vírus megpróbálja felülírni a felhasználó dokumentumait az összes elérhető meghajtón (a hálózati meghajtókat is beleértve). Ha a felhasználó nem Microsoft Outlook levelezőt használ, a ZippedFiles nem terjed tovább, a felhasználó dokumentumait azonban ekkor is megsemmisíti. A vírus a Windows 95, 98 és NT operációs rendszerek alatt működik.

"A féreg minden jel szerint gyorsan terjed - jelentette ki Mikko Hyppönen, a Data Fellows antivírus-kutatórészlegének vezetője -, de nem olyan gyorsan, mint a Melissa. A kulcskérdés itt az, hogy a ZippedFiles által küldött üzenetek nagyon hihetőek - teljesen normális válasznak tűnnek az elküldött levélre. A címzett valószínűleg meg fog bízni az üzenetben, és megnyitja a mellékletet."

A Data Fellows magyarországi képviselőjétől, a 2F 2000 Kft.-től már letölthető a vírus felismeréséhez és eltávolításához szükséges frissítés, a következő címekről:

FTP-vel, teljes vírusadatbázis-frissítés: ftp://ftp.2f.hu/pub/fsav/tools/fsupdate.exe

HTTP-vel, csak az ExploreZip vírus új változatának felismeréséhez: http://www.2f.hu/files/avp/32bit/zipfiles.zip

HTTP-vel, teljes vírusadatbázis-frissítés: http://www.2f.hu/(letoltes)/letoltes/fsupdate.html